1

php 可以在我的电脑中需要任何 php 文件吗?

我把apache www根文件夹设置为d:\phpnow\htdocs,之前我以为php只能要求这个文件夹下的php文件,比如require('laji/hello/a.php');
今天我发现php可以在我的PC上加载任何php文件,只需要完整路径。
如何预防?它对 Web 服务器不应该是安全的。

在此处输入图像描述

4

3 回答 3

2

PHP 可以将服务器上的任何文件包含在其被监禁的限制内(如果有的话)。在这种情况下,您的计算机就是服务器。这不是安全问题,因为远程服务器无法访问您的文件系统。

于 2013-01-27T09:42:57.280 回答
2

php 可以在我的电脑中需要任何 php 文件吗?

运行 PHP 程序的用户有权访问的任何文件。(也就是说,文件系统权限)。

如何预防?

限制文件系统的权限或 chroot 服务器,使其在沙盒环境中运行。(我不知道在 Windows 上是否可以进行 chrooting)

它对 Web 服务器不应该是安全的。

这是完全安全的,除非:

于 2013-01-27T09:49:59.450 回答
0

您可以使用文件拒绝访问目录,.htaccess因为您使用 Apache 运行 php。

如果你想阻止直接访问整个包含文件夹,你可以放一个.htaccess文件(文件只有扩展名,没有文件名。你可以使用记事本输入代码并将其保存为带有引号的“.htaccess”,称为绝对命名) 在包含的文件夹中;

deny from all

如果你想禁用目录列表,这里有一个教程:

htaccess 中的目录列表。允许、拒绝、禁用、启用 .htaccess 中的目录列表

你可以参考这个 Stack Overflow 问题.htaccess 拒绝访问文件夹

只是谷歌文件夹访问拒绝使用htaccess,你可以找到很多东西。

于 2013-01-27T10:06:13.043 回答